Connectez-vous à SageMaker Within à votre VPC - Amazon SageMaker
Connectez-vous SageMaker via un point de terminaison d'interface VPCUtilisation de SageMaker la formation et de l'hébergement avec les ressources de votre VPCCréez une politique de point de terminaison VPC pour SageMakerCréation d'une politique de point de terminaison VPC pour Amazon Feature Store SageMaker Connectez votre réseau privé à votre VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectez-vous à SageMaker Within à votre VPC

Vous pouvez vous connecter directement à l' SageMaker API ou à Amazon SageMaker Runtime via un point de terminaison d'interface dans votre cloud privé virtuel (VPC) au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison d'interface VPC, la communication entre votre VPC et l' SageMakerAPI ou le Runtime s'effectue de manière entièrement et sécurisée au sein d'un réseau. AWS

Connectez-vous SageMaker via un point de terminaison d'interface VPC

L' SageMaker API et le SageMaker Runtime prennent en charge les points de terminaison de l'interface Amazon Virtual Private Cloud (Amazon VPC) alimentés par. AWS PrivateLink Chaque point de terminaison d'un VPC est représenté par une ou plusieurs interfaces réseau Elastic avec des adresses IP privées dans vos sous-réseaux VPC. Par exemple, une application au sein de votre VPC communique avec AWS PrivateLink SageMaker Runtime. SageMakerLe moteur d'exécution communique à son tour avec le SageMaker point de terminaison. L'utilisation vous AWS PrivateLink permet d'appeler votre SageMaker point de terminaison depuis votre VPC, comme indiqué dans le schéma suivant.

Un VPC communique avec un AWS PrivateLink point de terminaison. SageMaker

Le point de terminaison de l'interface VPC connecte votre VPC directement à l' SageMaker API ou au SageMaker Runtime AWS PrivateLink sans utiliser de passerelle Internet, de périphérique NAT, de connexion VPN ou de connexion. AWS Direct Connect Les instances de votre VPC n'ont pas besoin de se connecter à l'Internet public pour communiquer avec l' SageMaker API ou SageMaker le Runtime.

Vous pouvez créer un point de terminaison d' AWS PrivateLink interface pour vous connecter à SageMaker ou à SageMaker Runtime en utilisant le AWS Management Console ou AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez la section Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface.

Si vous n'avez pas activé de nom d'hôte DNS (Domain Name System) privé pour votre point de terminaison VPC, après avoir créé un point de terminaison VPC, spécifiez l'URL du point de terminaison Internet vers SageMaker l'API ou le Runtime. SageMaker Voici un exemple de code utilisant des AWS CLI commandes pour spécifier le endpoint-url paramètre.

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
            Output_File

Si vous activez les noms d'hôte DNS privés pour votre point de terminaison de VPC, vous n'avez pas besoin de spécifier l'URL du point de terminaison, car le nom d'hôte par défaut (https://api.sagemaker.Region.amazon.com) se résout par votre point de terminaison de VPC. De même, le nom d'hôte SageMaker Runtime DNS par défaut (https://runtime.sagemaker. Region .amazonaws.com) correspond également à votre point de terminaison VPC.

L' SageMaker API et le SageMaker Runtime prennent en charge les points de terminaison VPC partout où Amazon VPC Régions AWS et Amazon sont disponibles. SageMaker SageMaker permet de passer des appels à tous ses éléments au Operationssein de votre VPC. Si vous utilisez le AuthorizedUrl CreatePresignedNotebookInstanceUrlcommande, votre trafic passera par l'Internet public. Vous ne pouvez pas uniquement utiliser un point de terminaison VPC pour accéder à l'URL présignée, la demande doit également passer par la passerelle Internet.

Par défaut, vos utilisateurs peuvent partager l'URL présignée avec des personnes extérieures à votre réseau d'entreprise. Pour plus de sécurité, vous devez ajouter des autorisations IAM afin de limiter l'utilisation de l'URL uniquement au sein de votre réseau. Pour plus d'informations sur les autorisations IAM, consultez la section AWS PrivateLink Fonctionnement avec IAM.

Note

Lors de la configuration d'un point de terminaison d'interface VPC pour le service SageMaker Runtime (https://runtime.sagemaker. Region.amazonaws.com), vous devez vous assurer que le point de terminaison de l'interface VPC est activé dans la zone de disponibilité de votre client pour que la résolution DNS privée fonctionne. Dans le cas contraire, vous risquez de rencontrer des défaillances DNS lorsque vous tentez de résoudre l'URL.

Pour en savoir plus AWS PrivateLink, consultez la AWS PrivateLink documentation. Consultez Tarification d'AWS PrivateLink pour connaître le prix des points de terminaison d'un VPC. Pour en savoir plus sur les VPC et les points de terminaison, consultez Amazon VPC. Pour plus d'informations sur l'utilisation de AWS Identity and Access Management politiques basées sur l'identité afin de restreindre l'accès à l' SageMaker API et au SageMaker Runtime, consultez. Contrôlez l'accès à l' SageMaker API à l'aide de politiques basées sur l'identité

Utilisation de SageMaker la formation et de l'hébergement avec les ressources de votre VPC

SageMaker utilise votre rôle d'exécution pour télécharger et charger des informations depuis un bucket Amazon S3 et Amazon Elastic Container Registry (Amazon ECR), indépendamment de votre conteneur d'entraînement ou d'inférence. Si vous avez des ressources situées dans votre VPC, vous pouvez toujours accorder l' SageMaker accès à ces ressources. Les sections suivantes expliquent comment mettre vos ressources à disposition SageMaker avec ou sans isolation du réseau.

Sans l'isolement réseau activé

Si vous n'avez pas défini l'isolation du réseau pour votre tâche ou votre modèle de formation, SageMaker vous pouvez accéder aux ressources en utilisant l'une des méthodes suivantes.

  • SageMaker les conteneurs d'inférence déployés et de formation peuvent accéder à Internet par défaut. SageMaker les conteneurs peuvent accéder à des services et ressources externes sur l'Internet public dans le cadre de vos charges de travail de formation et d'inférence. SageMaker les conteneurs ne peuvent pas accéder aux ressources de votre VPC sans configuration VPC, comme le montre l'illustration suivante.

    SageMaker Impossible d'accéder aux ressources de votre VPC sans configuration VPC.

  • Utilisez une configuration de VPC pour communiquer avec les ressources situées dans votre VPC via une interface réseau Elastic (ENI). La communication entre le conteneur et les ressources de votre VPC s'effectue de manière sécurisée au sein de votre réseau VPC, comme le montre l'illustration suivante. Dans ce cas, vous gérez l'accès réseau à vos ressources de VPC et à Internet.

    SageMaker peut accéder aux ressources de votre VPC et communiquer avec celles-ci grâce à une configuration VPC.

Avec l'isolement réseau

Si vous utilisez l'isolation réseau, le SageMaker conteneur ne peut pas communiquer avec les ressources de votre VPC ni effectuer d'appels réseau, comme le montre l'illustration suivante. Si vous fournissez une configuration de VPC, les opérations de téléchargement et de chargement seront exécutées via votre VPC. Pour plus d'informations sur l'hébergement et l'entraînement avec l'isolement réseau lors de l'utilisation d'un VPC, consultez Isolement du réseau.

SageMaker peut accéder aux ressources de votre VPC et communiquer avec celles-ci grâce à une configuration VPC.

Vous pouvez créer une politique pour les points de terminaison Amazon VPC SageMaker afin de spécifier les éléments suivants :

  • Le principal qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d’informations, veuillez consulter Contrôle de l’accès aux services avec des points de terminaison d’un VPC dans le Amazon VPC Guide de l’utilisateur.

Note

Les politiques de point de terminaison VPC ne sont pas prises en charge pour les points de terminaison d' SageMaker exécution FIPS (Federal Information Processing Standard) pour. runtime_InvokeEndpoint

L'exemple de politique de point de terminaison VPC suivant indique que tous les utilisateurs ayant accès au point de terminaison de l'interface VPC sont autorisés à appeler le SageMaker point de terminaison hébergé nommé. myEndpoint

{
  "Statement": [
      {
          "Action": "sagemaker:InvokeEndpoint",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
          "Principal": "*"
      }
  ]
}

Dans cet exemple, les éléments suivants sont refusés :

  • Autres actions d' SageMaker API, telles que sagemaker:CreateEndpoint etsagemaker:CreateTrainingJob.

  • Invoquer des points de terminaison SageMaker hébergés autres que. myEndpoint

Note

Dans cet exemple, les utilisateurs peuvent toujours effectuer d'autres actions d' SageMaker API en dehors du VPC. Pour obtenir des informations sur la façon de restreindre les appels d'API à ceux situés dans le VPC, veuillez consulter Contrôlez l'accès à l' SageMaker API à l'aide de politiques basées sur l'identité.

Pour créer un point de terminaison VPC pour Amazon SageMaker Feature Store, utilisez le modèle de point de terminaison suivant, en remplaçant votre VPC_Endpoint_ID.API et votre région :

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

Pour appeler l' SageMaker API et le SageMaker Runtime via votre VPC, vous devez vous connecter à partir d'une instance située à l'intérieur du VPC ou connecter votre réseau privé à votre VPC à l'aide d'un () ou. AWS Virtual Private Network AWS VPN AWS Direct Connect Pour en savoir plus AWS VPN, consultez la section Connexions VPN dans le guide de l'utilisateur d'Amazon Virtual Private Cloud. Pour plus d'informations AWS Direct Connect, voir Création d'une connexion dans le guide de l'utilisateur de AWS Direct Connect.